Nyderlanduose įsikūrusi saugumo įmonė „Fox-IT“ praėjusį ketvirtadienį paskelbtoje ataskaitoje teigė, kad grupuotė atakas vykdė 10‑yje šalių, tarp jų ir JAV, Jungtinėje Karalystėje, Prancūzijoje, Vokietijoje ir Italijoje.
Pasak įmonės, Kinijos programišiai vykdė pasaulinę šnipinėjimo kampaniją, kurios taikiniais tapo aviacijos, statybų, finansų, sveikatos apsaugos, draudimo, lošimo ir energetikos sektoriai.
Manoma, kad programišiai greičiausiai priklauso grupei, žinomai pavadinimu „APT20“. Tyrėjai teigė, kad jie „tvirtai įsitikinę, jog atakas vykdo Kinijos grupuotė ir kad ji greičiausiai remia Kinijos vyriausybės interesus.“
2009–2014 m. „APT20“ (dar žinoma kaip „Violin Panda“ ir „th3bug“) buvo susieta su įsilaužimais, kuriais taikytasi į universitetus, kariuomenę, sveikatos apsaugos įstaigas bei telekomunikacijų įmones. Pasak „Fox‑IT“, grupė keletą metų buvo pradingusi iš akiračio, bet neseniai vėl grįžo.
Skaitmeniniai pėdsakai
„Daug kas galvojo, kad ši grupuotė pradingo arba kad jos nebėra, – teigė vyriausiasis „Fox-IT“ saugumo ekspertas Frankas Groenewegenas. – Tačiau pastebėjome, kad ji vėl aktyvi ir bando įsilaužti į daugelį įmonių visame pasaulyje.“
Kinijos vyriausybės atstovas į žinutę su prašymu pakomentuoti neatsakė.
Pasak F. Groenewegeno, įmonė „Fox‑IT“ grupuotės vykdomų atakų seriją aptiko 2018 m. vasarą, atlikdama pažeistų kompiuterių sistemų analizę. Padarę šį atradimą „Fox‑IT“ tyrėjai sekė programišių skaitmeniniais pėdsakais ir atrado daugybę greičiausiai tos pačios grupės atliktų atakų.
Įmonės duomenimis, atakos vykdytos Brazilijoje, Meksikoje, Portugalijoje ir Ispanijoje.
Pasak kitas užpultas įmones ir organizacijas įvardyti atsisakiusio F. Groenewegeno, mažiausiai viena auka buvo ir Kinijoje – šalyje pasikėsinta į puslaidininkius gaminančią įmonę.
F. Groenewegenas teigė, kad „Fox‑IT“ bendradarbiauja su kai kuriomis užpultomis įmonėmis bandydama išvalyti jų sistemas, o kitas taip pat įspėjo apie atakas.
Programišiai prieigą prie organizacijos sistemų paprastai gaudavo išnaudodami įmonės ar vyriausybės agentūros naudojamo interneto serverio silpnąsias vietas. Pasak „Fox‑IT“ ataskaitos, įsiskverbę giliau programišiai gaudavo duomenų apie išskirtinę prieigą prie jautriausių kompiuterio tinklo vietų turinčius žmones (dažniausiai sistemų administratorius).
Nevaržoma prieiga
Tuomet programišiai sistemos administratorių kompiuteriuose paleisdavo veikti klavišų paspaudimus fiksuojančią programinę įrangą, kuri gali padėti atskleisti slaptažodžius. Pasak „Fox‑IT“, grupuotei bent vieną kartą pavyko įveikti „RSA SecurID“ dvielementę tapatybės nustatymo sistemą atkartojant jos kodus, kurie sukurti užkirsti kelią užpuolikams kartu su slaptažodžiu pateikiant papildomų saugumo priemonių.
„RSA Security“ į žinutę su prašymu pakomentuoti neatsakė.
„Fox‑IT“ duomenimis, programišiai gana gerai slėpė savo pėdsakus. Jie reguliariai ištrindavo įrankius, naudotus vogti duomenis iš užkrėstų kompiuterių. Tačiau kartais jie suklysdavo. Viename užkrėstame kompiuteryje „Fox‑IT“ įvedė stebėjimo įrankius ir sugebėjo gauti duomenų, atskleidusių, kad programišiai naudoja žiniatinklio naršyklę, kurioje nustatyta kinų kalba.
Tada su teisėsaugos agentūros pagalba „Fox‑IT“ sekė programišių veiksmus ir atrado grupės atakoms vykdyti įsigytą interneto serverį. Programišiai už jį sumokėjo „Bitcoin“ valiuta ir pateikė suklastotus duomenis – telefono numerį Jungtinėje Karalystėje ir adresą Lafajeto mieste Luizianos valstijoje. Tačiau dalį adreso jie įvedė supaprastintais kinų rašmenimis.
Taip pat atkreiptas dėmesys į laiką. „Fox‑IT“ saugumo ekspertai sekdami programišius nemiegodavo visą naktį – šie aktyvūs tapdavo maždaug 3 val. ryto Nyderlandų laiku ir dirbdavo nuo aštuonių iki dešimties valandų. Iš to galima spėti, kad jie veikė Kinijos laiko juostoje, kurioje laikas nuo Nyderlandų skiriasi septyniomis valandomis.
Tačiau aiškiausias įrodymas gautas tada, kai programišiai suvokė, kad juos pagavo. „Fox‑IT“ pabandė išstumti juos iš užkrėsto tinklo ir stebėjo, kaip grupė veda seriją komandų, bandydama atgauti prieigą prie kompiuterių. Kai paaiškėjo, kad prieigos atgauti nepavyks, vienas iš programišių iš pykčio savo klaviatūra surinko žodį „wocao“. Pasak „Fox‑IT“, tai – kiniškas keiksmažodis.
